מצאתם פרצה? אולי תקבלו תשלום בעד המאמץ
תוכניות באג באונטי הן תוכניות תגמול ותמריץ שמסייעות לחברות טכנולוגיה לחזק את שכבת ההגנה שלהן והפכו בשנים האחרונות לחלק מאסטרטגיית ניהול הסייבר והאבטחת מידע בארגונים. החברות משלמות להאקרים ומומחים על מנת לבדוק כיצד ניתן לחדור את שכבת האבטחה על מנת לאתר פריצות במערכת ולהבין מהי השפעתן על המשתמשים וכמובן, לדעת כיצד להתמודד ומה יש לעשות על מנת לחזק את ההגנה מפני פריצות עתידיות.
במרוצת השנים חברות ענק הציעו מענקים בסכומים משתנים תמורת ממצאים שעלו בתוכניות באג באונטי בין אם זו גוגל ששילמה 700,000 דולר סכום כולל על מציאת באגים ומייקרוסופט ששילמה על מציאת בעיות במערכת ההפעלה של כרום.
החשיבה שעומדת מאחורי באג באונטי היא שהצבת אתגרים אלה בפני האקרים יעילה כי היא מתעלת את האנרגיה של ההאקרים למקום ממנו ניתן להפיק תועלת ולצמצם נזקים. הרעיון הוא למעשה להילחם במתקפה באמצעות מתקפה.
עם זאת, התוכניות הללו גם שנויות במחלוקת ויש מי שטוענים שהן מעניקות גושפנקה להאקרים לפרוץ למערכות ולכן, רוב התוכניות הללו מוגדרות על ידי נהלים מדויקים וקפדניים. אפל למשל החלה את באג באונטי שלה במתכונת מצומצמת לעשרות חוקרים בלבד ורק בהמשך פתחה את התוכנית לציבור הרחב.
החברות היוצרות תוכניות מעין אלה גם יוצרות קוד אתי וכללים שעל המשתתפים לעמוד בהם על מנת להשתתף וליהנות מהתגמול הכספי. למשל, החברות מאפיינות במה הכי קריטי להן להתמקד ולהגדיר תגמול כספי על פי רמות החומרה וסוג הגישה, מעקב אחר דיווחים, הסכמי סודיות.
בנוסף, החברות המבצעות תוכניות באג באונטי מקבלות דיווח מהמשתתפים אודות הטכניקות והטקטיקות שניסו החוקרים על מנת לבצע את הפריצה ועל בסיס מידע יקר ערך זה הן יכולות להיות תמיד צעד אחד קדימה ולתכנן תגובה מהירה וכמו כן, לשפר את סטנדרט האבטחה של המוצרים השונים.
מאינטל ועד פייסבוק – התוכניות שאסור לפספס
עבור חוקרי אבטחה מדובר באימון מצוין וגם בדרך מצוינת להרוויח כסף. התגמול הכספי הוא אומנם רק על ממצאים שחוקרים והאקרים מגלים ותנאי הקבלה כוללים, בין היתר, בדיקת רקע, אבל זו יכולה להיות הכנסה מהצד וגם תרגול יצירתי ויישומי לבדיקת כישורי האקינג במבחן המציאות. שימו לב שיש תוכניות באג באונטי למתחילים ויש תוכניות למתקדמים, כך שאפשר לבחור את הרמה המועדפת. ניתן למצוא באינטרנט מגוון תוכניות באג אונטי של חברות בינלאומיות. אינטל לדוגמא מציעה תשלום מינימלי של 500 דולר עבור מציאת באגים במערכות שלה ותשלום מרבי של 30,000 דולר עבור גילוי של באגים קריטיים כאשר התוכנית מכוונת בעיקר לחומרה ותוכנה ואינה כוללת רכישות אחרונות, תשתית האינטרנט של החברה ומוצרים צד ג’. דרופבוקס אף היא מציעה תוכנית כזאת בתגמול שנע בין 12,167 דולר עד 32,768 דולר ופייסבוק אף היא מציעה תוכנית באג באונטי הרלבנטית לכל מוצרי האבטחה של החברה לרבות אינסטגרם וואטס אפ בתשלום מינימלי של 500 דולר ולא הציבה גבול עליון לתשלום.
מה ללמוד כדי להשתתף?
אם ברצונכם להתמקצע בתחום ובין היתר, להשתתף בתוכניות באג באונטי, חשוב שיהיו לכם הכישורים הנדרשים לתחום. אז מהם הקורסים שיוכלו להעניק לכם את הכלים החיוניים? קורס פיתוח תוכנה הוא קריטי, כיוון שהוא מקנה ידע בשפות תכנות עליהן מבוססות מערכות שונות, ממערכות מידע ועד אפליקציות, כמו שפת ג’אווה וכן פיתוח בצד לקוח וצד שרת, כך שניתן עם הידע להכיר מערכות מקצה לקצה. קורס סייבר ואבטחת מידע מאפשרים להכיר את מנגנוני האבטחה השונים בכל הרבדים ומיומנויות של תכנות, אוטומציה, חדירות למערכות שונות וסימולציות של תרחישים שונים. תוכלו להבין לעומק את מערכות ההגנה, לוחמה ברשת, לאתר פגיעות של מערכות ולהשתמש בידע הנרכש על מנת להגיש מועמדות לתוכניות באג באונטי של חברות ענק.